CSBS 發布「保護非銀行金融機構敏感資訊綜合框架」

美國州際銀行監管協會（Conference of State Bank Supervisors, CSBS）近日發布「保護非銀行金融機構敏感資訊綜合框架」（comprehensive framework for safeguarding sensitive information held at nonbank financial institutions），其目的在於建立全面性資訊安全標準，保護敏感資訊，以應對網路威脅。因此，其要求非銀行金融機構制定、實施和維護一個包含行政、技術和物理保障措施的綜合資訊安全計劃。 而該資訊安全計畫必須包括： 

1. 指定一名合格人員來實施和監督資訊安全計劃。（Designate a Qualified Individual to implement and supervise the information security program.） 
2. 進行風險評估。（Conduct a risk assessment.） 
3. 設計和實施保障措施，以控制通過風險評估確定的風險。（Design and implement safeguards to control the risks you identify through risk assessment.）
4. 定期監控和測試保障措施的有效性。（Regularly monitor and test the effectiveness of the safeguards.） 
5. 培訓員工。（Train staff.） 
6. 監督服務提供者。（Monitor service providers.） 
7. 使資訊安全計劃保持最新。（Keep the information security program current.）
8. 文件化事件處理計劃。（Create a written incident response plan.） 
9. 要求合格人員向董事會報告。（Require the Qualified Individual to report to your Board of Directors.） 
10. 文件化業務持續維運和災難回復計劃。（Create a written business continuity and disaster recovery plan.）

新聞來源：CSBS announces Nonbank Model Data Security Law